Hallo das ist eine Bitte an alle Experten um Erhellung,
ich bin jetzt schon sehr weit mit der Umstellung von lmn6 auf lmn7. Server läuft stabil, Subnetze sind angelegt, Netzwerk funktioniert, Opnsense ist mit 4 Netzen (grün, rot, wlan, dmz) und den alten Regeln eingerichtet, Devices importiert, User sind angelegt, Linbo läuft, der Linuxclient ist mal grundsätzlich eingerichtet,…
Allerdings ist der endgültige Umstieg auf die lmn7 ist im Moment v.a. wegen noch nicht dokumentierter/implementierter “Kleinigkeiten” recht schwierig.
Zwei wesentliche Funktionalitäten sollten dringend zeitnah implementiert, bzw. erklärt werden, damit wir Testwilligen unsere Schulen in den Sommerferien umstellen können:
Wir brauchen dringend einen Radius, da bei vielen die Wlangeschichten (WPA2-Enterprise) darüber abgewickelt werden. Am besten aufgehoben wäre dieser auf der Opnsense, denn die bringt einen Radius als Erweiterung mit und wir müssten nicht extra eine VM dafür aufmachen. Ich war zu blöd das letztlich zum Laufen zu bekommen. Des weiteren müsste noch dringend irgendwo dokumentiert werden, wie das mit der Wlansteuerung läuft…bisher gab es ja die Gruppe p_wifi und Schalter in der Schulkonsole. Ich nehme mal an, es gibt dafür ein Feld in der AD aber wie funktioniert das mit SELMA und wie mache ich die Beschränkungen im Radius? Und wie konfiguriere ich das Serverseitig? In der lmn6 gab es dazu eine Konfigurationsdatei wlan_defaults. Ich habe einige Templates auf git gefunden, kann aber nicht erkennen, wie das läuft.
Hängt mit 1. teilweise zusammen: wir möchten bestimmt alle, dass sich unsere User wie bisher bei Webuntis, bei der Nextcloud, usw. mit ihren schoolcredentials anmelden können…dabei bin ich über einige Probleme gestolpert:
a. Die Prinzipielle Syntax, wie man die AD fragt habe ich mir aus /etc/linuxmuster/webui/config.yml abgeschaut. Allerdings fehlt ganz dringend eine Grunddokumentation, wie das mit den weiteren Filtern (Gruppen, User, etc.), bzw. allgemein der Syntax funktioniert…am besten wären Beispielkonfigurationen?
b. Speziell Webuntis erlaubt die Authentifizierung nur gegen einen von einer CA (z.B. letsencrypt) signierten ladp/AD. Wir nutzen ja auf dem lmn7-server ein selbstsigniertes Zertifikat…
Bei der lmn6 habe ich das in der slapd.conf konfigurieren können. Wie funktioniert das ganze bei der lmn7?
Wie läuft das mit dem Proxy bei Wlan…ich habe nirgendwo einen Schalter gefunden, dass der Proxy beim “blauen” Netz transparent ist…oder funktioniert das über SSO?
Vielen Dank schon mal für hoffentlich viele Infos.
Das liefert ein JSON Objekt zurück auf stderr mit den angeforderten Daten.
Falls sich am AD etwas ändern sollte (Umorganisation, neues Attribut, neue Samba Version, …), wird sophomorix-query entsprechend aktualisiert.
Sodass deine Abfragen dann noch tun. Und deine selbstge(s)trickten Scripte nicht kaputt gehen.
Falls du etwas nicht abfragen kannst, was du brauchst, baue ich es zeitnah ein.
danke das hilft schon Mal viel beim allgemeinen Verständnis weiter. Mein Problem ist aber eine Ebene darüber. Ich bekomme die Nextcloud einfach nicht dazu sich mit dem Ladp überhaupt zu verbinden.
Der Port 636 ist offen und erreichbar von der Nextcloud…das ist bisher das einzige was tut. Folgende Felder sollen ausgefüllt werden:
Passwort: das Passwort aus /etc/linuxmuster/.secret/global-binduser
*Base-DN: Versucht habe ich alle möglichen Kombinationen; als Vorlage habe ich die /etc/linuxmuster/webui/config.yml genommen.
…ich bekomme aber keine Verbindung zur AD.
Kannst du mir einen Tipp geben oder einen Schubs, wie man das mal systematisch testet?
Viele Grüße
Dominik
Bei Host habe ich den lmn7 eingetragen: ldaps://meine-ip-adresse; bei Port 636
wir beschäftigen uns gerade mit dem FreeRadius AddOn auf der OpenSense und haben für die LDAP Anbindung folgende Eintragungen verwendet:
Bindbenutzer: CN=global-binduser, OU=Management, OU=GLOBAL, DC=linuxmuster, DC=lan
BindKennwort: <wie in der Datei /etc/linuxmuster/.secret/global-binduser angegeben >
Attribute für die Benutzernamen haben wir einfach mal so gelassen wie es das AddOn vorgegeben hatte…
Das hat schon mal in der Protokolldatei das FreeRadius ein funktionierendes “Binding” gebracht.
Noch schöner:
Ein “radtest” auf der Konsole von openSense mit einem existierenden Benutzer war erfolgreich
Mehr haben wir noch nicht … Aber wir bleiben dran …
die Zugangsdaten (DN, Passwort, etc…) können angezeigt werden mit:
sophomorix-admin -a -i
oder so ähnlich. Evtl. die Hilfe befragen, evtl. -ivv nutzen
BaseDN ist die DN unterhalb der nach Usern und Gruppen gesucht wird. Beim automatischen ermitteln wird der Server nach seine RootDSE befragt, die er verwaltet. (Üblicherweise DC=linuxmuster,DC=local). Dies sucht ÜBERALL im LDAP-Baum nach usern. Deshalb sollte die BaseDN eingeschränkt werden:
• OU=SCHOOLS,DC=linuxmuster,DC=local (auf alle Schulen)
• OU=bsz,OU=SCHOOLS,DC=linuxmuster,DC=local (auf die Schule bsz)